在阅读了CORS(跨源资源共享)之后,我不明白它是如何提高安全性的.如果发送了正确的ORIGIN标头,则允许跨域AJAX通信.举个例子,如果我发送
服务器检查此域是否在白名单中,如果是,则标头:
Access-Control-Allow-Origin:[收到此处的网址]
被送回,连同响应(这是简单的情况,也有预见的请求,但问题是一样的).
这真的很安全吗?如果有人想要收到这些信息,假冒ORIGIN标题似乎是一项非常简单的任务.此外,该标准表示该策略在浏览器中强制执行,如果Access-Control-Allow-Origin不正确,则阻止响应.显然,如果有人试图获取该信息,他将不会使用标准浏览器来阻止它.